infoMode

情報セキュリティからテクノロジー、お役立ち情報などを発信します。

SNSのパスワード使い回しの危険に対する現実的な対策

SNSサービス毎にパスワードなんか覚えてられっか!

有識者や情報セキュリティの専門家はいいます。

 

「パスワードはできるだけ長く、第三者から推測されにくく、最低何文字で、大文字と小文字が入っていて、英数字が織り混ざっていて、記号も入っていて、自分の名前や辞書にあるような言葉を使わず、誕生日は絶対に入れないで、言葉の反復もダメで」

 

しかも

 

「異なるWebサービスで同じパスワードを使うこと(使いまわし)はやめてください」

 

場合によっては、

 

「パスワードは定期的に変えてください。なお、過去に使ったパスワードは使用できません」

 

なんて拷問のような規制を打ち出してくるガチガチなサービスもあります。

現実的なパスワードのルール

そりゃあ利用するWebサービス毎に「くぁwせdrftgyふじこlp」並のパスワードを設定し、すべて管理できればいいんですが。そうもいきません。

 

というわけで、一つ覚えやすいルールを作ってみました。当然この記事が公開される以上はこのルールは使えませんが、組み立て方や構成などをまねて各自がカスタマイズすれば良いと思います。

この記事が対象にしているのは、パスワードがとてもシンプルかつ同じパスワードを使いまわしてしまっている人です。きっちり「くぁwせdrftgyふじこlp」が管理できている人はあえて変える必要はありません。

 

構成はこうです。

 

最初の1桁が大文字のマスターパスワード

利用しているサービス名

あるルールに従う数字と記号

 

これだけで、結構安全なパスワードを、使いまわすことができます。一見ややこしいですが慣れれば覚えやすいと思います。

例えば、以下のような例を考えましょう。Facebookのパスワードだとします。

 

最初の1桁が大文字のマスターパスワード

Atashisakuranbo

利用しているサービス名

Facebook

あるルールに従う数字と記号

今回は、あるルールを”サービス名に含まれる"e"の数を3回繰り返して驚く”とします。この場合は"111!"ですね。

 

生成されたパスワード:

AtashisakuranboFacebook111! 

になります。正直いってほとんどのウェブサイトで”セキュリティ:高”などの評価になるレベルのパスワードのはずです。

 

では、Twitter用はどうなるのでしょうか。

AtashisakuranboTwitter111!

 

Instagramは?

AtashisakuranboInstagram000!

 

なんだか強そうな感じしますね〜。

解説

最初の1桁が大文字のマスターパスワード

大文字がないサービスの場合すべて小文字になる可能性があるので、強制的に1文字目を大文字としています。

マスターキーのようなもので、このパスワード1つとあるルールさえ覚えておけば、他のすべてのパスワードを脳みそで生成できます。

 

利用しているサービス名

そりゃ、パスワード何個も覚えたくないですよね。だからマスターパスワードだけ覚えればいいように、サービス名をパスワードに組み込むんです。

存在する言葉なのでセキュリティの強固さにはあまり貢献しませんが、使いまわしやすさがついてきます。

Facebook、Twitter、Gmail、Yahoo、なんでもござれ。

 

あるルールに従う数字と記号

この使いまわしにおけるミソがこれです。マスターパスワード+利用しているサービス名だけだと、どれか1つのサービスからマスターパスワードが漏れた瞬間、他のサービスのパスワードもあたりがついてしまいます。

それを防ぐための、”あるルール”というわけです。つまり、”マスターパスワード”という関門が突破されても、最後にあるこの”あるルールに従う数字と記号”は暗号になります。

攻撃者にとってみれば”マスターパスワード”に加えて”あるルール”がわからない限り他のサービスのパスワードは推測できなくなるのです。しかし、流出したパスワードから”あるルール”を推測するのは困難です。

”あるルール”が流出するとしたら、それは本人が言いふらす以外の可能性は限りなく低いのです。

 

ここをサービス毎に異なる数字と記号の組み合わせとしてしまうと、結局サービスの数だけそれらを覚える必要がでてきます。

そのため、使いまわすサービス名から生成できる”あるルール”を持っておくのです。

 

ルールを難解にすると、例えば

”サービスの文字数を1から9までで表した後、悩んで悩んで悩みぬく” 

 なんてのもできます。この場合あるルールに従う数字と記号の部分は、

 

Facebook→12456??378

Twitter→12456??37

Gmail→1245??3

Instagram→124569??378

 

となります。要するに桁数に対応する数字を書いて、?を2つつけて(悩んで悩んで)、7, 8, 3を抜いて?の後に持って来る(悩みぬく)わけです。

 

ダジャレやってる場合じゃねーぞ!ってツッコミがきそうですが、この程度複雑なルールでも慣れれば一瞬で頭の中に浮かびます。しかも、それぞれのパスワードはこんな感じになります。

AtashisakuranboFacebook12456??378

AtashisakuranboTwitter12456??37

AtashisakuranboGmail1245??3

AtashisakuranboInstagram124569??378

 

まぁ、まず安全でしょうね。

 

実際は数字+記号で5桁程度になるルールを作るのがおすすめです。

まとめ

安心して使いまわせるパスワードは、

 

最初の1桁が大文字のマスターパスワード

利用しているサービス名

あるルールに従う数字と記号

 

という具合に生成すれば比較的簡単に覚えられることがわかりました。是非、試してみてください。

最初は戸惑うかもしれませんが、使っているうちに間違いなく慣れてきてそのうち考えもしなくなります。

 

え、ちょっと長い?さすがに、それは我慢しましょう。パスワードを使いまわそうというのですから。

スポンサーリンク